xkcd - la faille dont les médias ont parlés en mode "pour le nuls et ceux qui font semblant de ne pas l'être"

En gros:

  • pour maintenir la connexion entre votre ordi et le serveur sécurisé, il y a un jeu de ping/pong qui dure le temps que dure votre connexion
  • why ?  Parce que sur le réseau, pour qu'une connexion reste et ne soit pas fermée quelque part, il faut qu'il y ait de l'activité, des données échangées.  Sinon, un routeur peut fermer pour faire le ménage "elle est plus utilisée celle là, je la ferme"
  • il s'échangent des "mots" et le serveur doit répondre le "mot" de la bonne longueur
  • mais au le client demande au serveur de lui répondre 2048 lettres au lieu de 4 ... le serveur va QUAND même répondre 2048 lettres
  • et dans ce bloc de texte/données, quelqu'un "qui sait" peux retrouver des infos de connexion d'utilisateurs précédents ...

Source:

Bref c'est un trou de sécu oui mais avant de dire n'importe quoi il vaut mieux essayer de comprendre ;)

Et pour avoir essayé le jour même de l'annonce, pas mal de sites, je n'en ai pas trouvé un avec le trou de sécu.  Mais il est vrais que ce qui s'est passé "avant" ...
Bref, vous pouvez changer tous vos mots de passe sur des sites genre

  • banque
  • mail
  • je suis le maître du monde et je pilote tous vos autres comptes
  • j'ai accès en one-click à votre carte bancaire

ou

  • surveiller vos comptes ...

ou pas.

Haut de page